ACTUALIZACIÓN: Microsoft ha emitido una corrección permanente temporal para un error previamente no revelado en su servicio de correo electrónico web de MSN Hotmail que podría haber permitido a atacantes remotos restablecer contraseñas de cuentas.
La falla en la funcionalidad de restablecimiento de contraseñas permitió a un atacante remoto restablecer la contraseña de Hotmail / MSN con sus propios valores, de acuerdo con un aviso publicado por el investigador senior del Laboratorio de Vulnerabilidades Benjamin Kunz Mejri. Afectó al servicio oficial de Microsoft MSN Hotmail (Live). Los atacantes remotos podrían usar el agujero de seguridad para eludir el servicio de recuperación de contraseñas y configurar una nueva contraseña, según el aviso.
Hotmail es el proveedor de servicios de correo electrónico basado en la web más grande del mundo, promocionando a unos 364 millones de usuarios. La falla también permitiría a un atacante eludir la protección de inicio de sesión basada en tokens de MSN Hotmail. Según el informe del Laboratorio de Vulnerabilidades, la protección de tokens solo comprueba si los valores de entrada están vacíos antes de bloquear o cerrar la sesión web. Mejri logró omitir esa característica ingresando una cadena de caracteres, en este caso,’+++) -.’
«El viernes, abordamos un incidente con la funcionalidad de restablecimiento de contraseñas; no hay acción para los clientes, ya que están protegidos», dijo un portavoz de Microsoft a Threatpost por correo electrónico.
Según un informe publicado en WhiteC0de, el exploit fue descubierto inicialmente por un hacker saudí que trabajaba para Dev-point.com y se filtró a los foros de hackers, donde se propagó rápidamente. A pesar de la rápida acción para corregir el defecto, Whitec0de afirma que ha sido ampliamente utilizado para comprometer las cuentas de Hotmail. A su vez, se aprovechó el acceso no autorizado a esas cuentas de correo electrónico para obtener acceso a redes sociales, cuentas financieras y otras cuentas vinculadas a esas direcciones.